La CISA avertit que les acteurs de la menace multiplient les attaques contre la vulnérabilité Log4Shell non corrigée dans les serveurs VMware.
La Cybersecurity and Infrastructure Security Agency (CISA) et le Coast Guard Cyber Command (CGCYBER) ont publié un conseil conjoint avertissement que la faille Log4Shell est exploitée par des acteurs malveillants qui compromettent les serveurs publics VMware Horizon et Unified Access Gateway (UAG).
VMware Horizon est une plate-forme utilisée par les administrateurs pour exécuter et fournir des postes de travail virtuels et des applications dans le cloud hybride, tandis qu'UAG fournit un accès sécurisé aux ressources résidant à l'intérieur d'un réseau.
Selon la CISA, dans un cas, l'acteur de la menace persistante avancée (APT) compromet le réseau interne de la victime, se procure un réseau de reprise après sinistre et extrait des informations sensibles. "Dans le cadre de cette exploitation, des acteurs présumés d'APT ont implanté des logiciels malveillants de chargeur sur des systèmes compromis avec des exécutables intégrés permettant la commande et le contrôle à distance (C2)", a ajouté CISA.
Log4Shell est une vulnérabilité d'exécution de code à distance (RCE) affectant la bibliothèque de journalisation appelée "Log4j" dans Apache. La bibliothèque est largement utilisée par diverses organisations, entreprises, applications et services.
Analyse des attaques
Le CGCYBER mène un engagement proactif de chasse aux menaces dans une organisation qui a été compromise par les acteurs de la menace qui ont exploité Log4Shell dans VMware Horizon. Cela a révélé qu'après avoir obtenu un accès initial au système de la victime, l'adversaire a téléchargé un logiciel malveillant identifié comme "hmsvc.exe".
Les chercheurs ont analysé l'échantillon du logiciel malveillant hmsvc.exe et ont confirmé que le processus se faisait passer pour un service Windows légitime et une version modifiée du logiciel SysInternals LogonSessions.
Selon le chercheur, un échantillon de logiciels malveillants hmsvc.exe s'exécutait avec le niveau de privilège le plus élevé sur un système Windows et contient un exécutable intégré qui permet aux pirates d'enregistrer les frappes au clavier, de télécharger et d'exécuter des charges utiles.
"Le malware peut fonctionner comme un proxy de tunnellisation C2, permettant à un opérateur distant de pivoter vers d'autres systèmes et de se déplacer plus loin dans un réseau." L'exécution initiale du malware a créé une tâche planifiée qui est configurée pour s'exécuter toutes les heures.
Selon CISA, dans un autre engagement de réponse aux incidents sur site, ils ont observé un trafic bidirectionnel entre la victime et l'adresse IP APT suspectée.
Les attaquants accèdent initialement à l'environnement de production de la victime (un ensemble d'ordinateurs sur lesquels le logiciel prêt à l'emploi ou la mise à jour sont déployés), en exploitant Log4Shell dans des serveurs VMware Horizon non corrigés. Plus tard, la CISA a observé que l'adversaire utilisait des scripts Powershell pour effectuer des mouvements latéraux, récupérer et exécuter le logiciel malveillant du chargeur avec la capacité de surveiller à distance un système, d'obtenir un shell inversé et d'exfiltrer des informations sensibles.
Une analyse plus approfondie a révélé que les attaquants ayant accès à l'environnement de test et de production de l'organisation exploitaient CVE-2022-22954, une faille RCE dans VMware Workspace ONE Access et Identity Manager. implanter la coque web Dingo J-spy,
Réponse aux incidents et atténuations
CISA et CGCYBER ont recommandé plusieurs actions à entreprendre si un administrateur découvre des systèmes compromis :
- Isoler le système compromis
- Analysez le journal, les données et les artefacts pertinents.
- Tous les logiciels doivent être mis à jour et corrigés à partir du .
- Réduisez le service d'hébergement public non essentiel pour limiter la surface d'attaque et implémentez DMZ, un contrôle d'accès réseau strict et WAF pour vous protéger contre les attaques.
- Il est conseillé aux organisations de mettre en œuvre les meilleures pratiques de gestion des identités et des accès (IAM) en introduisant l'authentification multifacteur (MFA), en appliquant des mots de passe forts et en limitant l'accès des utilisateurs.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilités
- la sécurité d'un site web
- zéphyrnet
